我们有一个LDAP目录,里面有超过5万个用户。 LDAP供应商build议每个LDAP组最多限制40,000个用户。 我们有一些非活跃用户,这些用户正在被清除,但是如果我们没有低于40,000用户呢? 切换到在用户logging级别使用多值属性,而不是使用LDAP组会产生更好的性能authentication,添加新用户等?
我知道大多数服务器软件(门户,应用程序服务器等)都使用LDAP组。 但是,我们有一个标准化的Web服务接口来访问控制,而不是依靠服务器软件将LDAP组映射到安全angular色。 每个应用程序使用这个通用的“访问控制Web服务”。 在应用程序中使用安全angular色来构build每个企业应用程序内使用的细粒度ACL。
组已经使用了像uniqueMember和member这样的多值属性。 在一些传统的目录服务器中,真正的问题是处理任何条目中的多值属性,而不仅仅是一个组条目(组中没有什么特别的,它只是一个objectClass的成员,它需要/允许uniqueMember或member随你)。 根据供应商是谁,切换到多值属性不太可能会大大提高性能。